SlideShare a Scribd company logo

Uisg itgov 3_ rm -silver bullet ey

U
uisgslide
TechnologySports
1 of 17
Download to read offline
Управление рисками - серебряная пуля или данность моды? Собрание Ukrainian Information Security Group VI Владимир Матвийчук, CISA, CISM, ITILF
Что такое управление рисками Риск - произведение вероятности возникновения неблагоприятного события на величину потерь, полученных в результате наступления такого события Управление рисками - процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией Страница 2
Преимущества от использования управления рисками ► Сокращение затрат ► Оптимизация контролей ► Эффективное использование технологий ► Улучшение бизнес-процессов ► «Единый язык» для общения с руководством бизнеса ► Координация действий по управлению рисками ► Улучшение процесса отчетности и раскрытия информации по рискам Страница 3
Проблемы управления рисками и возможные причины Проблемы Возможные причины ► Субъективность ► Неверно выбранная методика ► Неточность ► Низкое вовлечение бизнеса ► Сложность ► Низкий уровень зрелости процессов ИБ ► Агрессивная стратегия принятия рисков Страница 4
Методика управления рисками – как выбрать правильно? ► Выбор несоответствующей методики управления рисками – одна из частых причин дальнейших проблем ► Критерии для выбора методики управления рисками (список не исчерпывающий): ü Тип организации (государственная, большая, средняя, маленькая, коммерческая, некоммерческая) ü Элементы процесса, охваченные методикой (весь процесс, только оценка рисков и т.д.) ü Оценка риска (качественная, количественная: в деньгах, по надуманной шкале и т.д.) ü Стоимость методики, необходимость лицензирования (платная, бесплатная, бесплатная для членов ассоциации и т.д.) ü Уровень знаний специалистов, необходимый для использования методик (высокий, средний, базовый) ü Наличие инструментария для автоматизации и его стоимость (есть / нет, платный / бесплатный) ü Регуляторные требования Страница 5
Выбор оценки: качество против количества Количественная Качественная Страница 6
Не все риски можно легко оценить в деньгах ► Урон репутации ► Утрата конкурентного преимущества ► Ухудшение продуктивности / морального духа сотрудников ► Ущерб или смерть Страница 7
Субъективность методов оценки риска Все в мире субъективно J Страница 8
Почему «единый язык» для общения с руководством бизнеса не работает ? ► Мы построили процесс, но руководство все равно не слышит доводов ► Возможные причины: ► Наличие более приоритетных рисков ► Агрессивная политика принятия риска Руководство бизнеса Информационная безопасность Страница 9
Управление рисками глазами ИБ Цели бизнеса, требования регулирующих органов и указания управляющего совета , которые Корпоративная модель управления рисками, определяют требования к управлению стратегия, толерантность к риску, рисками Бизнес метод управления и ожидания от управления факторы рисками Стратегия управления Владение, ответственность, Определение рисков, сферы рисками контроль выполнения программ и рисков, ключевые индикаторы управление требованиями к оценке, рисков, библиотека рисков и улучшению и мониторингу рисков контролей, сценарии рисковых Управление, событий и критерии к политики и стандарты определению рейтинга рисков Определение и категоризация рисков Инструменты для облегчения Процессы, процедуры и методы Процессы и процесса управления рисками Инструменты и Управление управления рисками операционные технологии персоналом и практики организацией Организационная структура, роли и обязанности, программа обучения и Соответствие, мониторинг и отчетность персонал для управления рисками Матрица рисков: непрерывное наблюдение и отчетность об эффективности управления рисками Страница 10
Информационные риски глазами бизнеса Учет и отчетность Ликвидность Рынок Динамика рынка Структура капитала Основные инициативы Кредитный Слияние, поглощение и ФИНАНСОВЫЕ отчуждение Разработка активов продуктов СТРАТЕГИЧЕСКИЕ Планирование и Распределение ресурсов E&Y RISKUNIVERSEä Продажи и маркетинг Коммуникации и ОПЕРАЦИОННЫЕ Поставки связи с инвесторами СООТВЕТСТВИЯ Управление Люди Нормы поведения Информационные технологии Правовой Регуляторный Налоги Основные Прерывание фонды деятельности Страница 11
Риск-аппетит: теория ► Риск нельзя свести к абсолютному минимуму ► Невозможно выявить все источники рисков ► Уменьшение некоторых рисков требует чрезмерных затрат ► Принятие некоторых рисков позволяет увеличить доходность ► Установление предельного значения риска позволяет определить, до какой степени данный риск следует минимизировать, а до какой – принять Идеальный вариант Затраты Суммарные затраты Затраты на контроли Ожидаемые потери Оптимальные затраты Риски Страница 12
Стратегии в принятии риска Стратегия Описание Неприятие Избежание риска и неопределенности является ключевой задачей Осторожность Предпочтение для безопасных вариантов, которые имеют низкую степень присущего риска и могут иметь лишь ограниченный потенциал для выгоды Открытость Готовы рассмотреть все варианты и выбрать тот, который наиболее вероятно, приведет к успешной доставки а также обеспечивает приемлемый уровень выгоды Жажда Стремимся быть инновационными и выбирать варианты на основе потенциала наибольшей выгоды (несмотря на присущий высокий риск) Страница 13
Риск-аппетит: реалии ► Руководство может принимать разную стратегию принятия рисков ► Руководство бизнеса склонно рисковать ► Принятие риска часто может привести к дополнительной прибыли Страница 14
Управление информационными рисками сугубо силами ИТ и ИБ - путь в никуда ► Управление информационными рисками должно интегрироваться общекорпоративную модель управления рисками ► Оценка ущерба без вовлечения представителей бизнес-подразделений – напрасно потраченные ресурсы Страница 15
Проблемы будущего ► Еще один часто встречающийся аргумент против управления рисками - невозможно оценить влияние будущих событий (появления уязвимостей 0-го дня и т.д.) ► Управление рисками – циклический, постоянно совершенствующийся процесс ► Оценка должна проводится: ► регулярно (как минимум ежегодно) ► при обнаружении новых уязвимостей ► при существенных изменениях в компании Страница 16
Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com Страница 17

Recommended

Effective risk management
Effective risk managementEffective risk management
Effective risk managementVladimir Matviychuk
 
Sviridenko 2007
Sviridenko 2007Sviridenko 2007
Sviridenko 2007Василий Зубакин
 
Orlov 2008
Orlov 2008Orlov 2008
Orlov 2008Василий Зубакин
 
принципы построения супа
принципы построения супапринципы построения супа
принципы построения супаRnD_SM
 
формирование системы риск менеджмента инновационной деятельности на основе...
формирование системы риск менеджмента инновационной деятельности на основе...формирование системы риск менеджмента инновационной деятельности на основе...
формирование системы риск менеджмента инновационной деятельности на основе...IAB_CRD
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Vladimir Matviychuk
 
запуск бизнес стратегий
запуск бизнес стратегийзапуск бизнес стратегий
запуск бизнес стратегийАндрей Теслинов
 
риск. управление рисками(основа)
риск. управление рисками(основа)риск. управление рисками(основа)
риск. управление рисками(основа)TerminalGaz
 

Recommended

Effective risk management
Effective risk managementEffective risk management
Effective risk managementVladimir Matviychuk
 
Sviridenko 2007
Sviridenko 2007Sviridenko 2007
Sviridenko 2007Василий Зубакин
 
Orlov 2008
Orlov 2008Orlov 2008
Orlov 2008Василий Зубакин
 
принципы построения супа
принципы построения супапринципы построения супа
принципы построения супаRnD_SM
 
формирование системы риск менеджмента инновационной деятельности на основе...
формирование системы риск менеджмента инновационной деятельности на основе...формирование системы риск менеджмента инновационной деятельности на основе...
формирование системы риск менеджмента инновационной деятельности на основе...IAB_CRD
 
Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Управление рисками - серебряная пуля или данность моды?
Управление рисками - серебряная пуля или данность моды?Vladimir Matviychuk
 
запуск бизнес стратегий
запуск бизнес стратегийзапуск бизнес стратегий
запуск бизнес стратегийАндрей Теслинов
 
риск. управление рисками(основа)
риск. управление рисками(основа)риск. управление рисками(основа)
риск. управление рисками(основа)TerminalGaz
 
Integro systems
Integro systemsIntegro systems
Integro systemsFinancialStudio
 
Показатели для наблюдателей Э. Мальцев Strategii #03 2008
Показатели для наблюдателей Э. Мальцев Strategii #03 2008Показатели для наблюдателей Э. Мальцев Strategii #03 2008
Показатели для наблюдателей Э. Мальцев Strategii #03 2008Eduard Maltsev
 
Влияние корпоративного управления на стоимость компании при проведении IPO
Влияние корпоративного управления на стоимость компании при проведении IPOВлияние корпоративного управления на стоимость компании при проведении IPO
Влияние корпоративного управления на стоимость компании при проведении IPORTS Stock Exhange
 
Вебинар 3/5. Расчет стоимости мониторинга
Вебинар 3/5. Расчет стоимости мониторингаВебинар 3/5. Расчет стоимости мониторинга
Вебинар 3/5. Расчет стоимости мониторингаsmm3
 
РИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ
РИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙРИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ
РИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙИлья Лившиц
 
Risk_methodologies
Risk_methodologiesRisk_methodologies
Risk_methodologiesElena Petrova
 
7. презентация усо для акционера []
7. презентация усо для акционера []7. презентация усо для акционера []
7. презентация усо для акционера []share_1ab
 
секция 5 курс и старше полуфинл команда 2x2
секция 5 курс и старше полуфинл команда 2x2секция 5 курс и старше полуфинл команда 2x2
секция 5 курс и старше полуфинл команда 2x2Changellenge >> Capital
 
Рекламная кампания Объединенные кондитеры
Рекламная кампания Объединенные кондитерыРекламная кампания Объединенные кондитеры
Рекламная кампания Объединенные кондитерыДмитрий Неплохов
 
Елена Морозова, Radar Advertising, Digital для fmcg
Елена Морозова, Radar Advertising, Digital для fmcg Елена Морозова, Radar Advertising, Digital для fmcg
Елена Морозова, Radar Advertising, Digital для fmcgweb2win
 
CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?
CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?
CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?CodeFest
 
Case Club challenge solution : Alfa case 2014
Case Club challenge solution : Alfa case 2014Case Club challenge solution : Alfa case 2014
Case Club challenge solution : Alfa case 2014Mika KAN
 
Роль digital в жизни бренда
Роль digital в жизни брендаРоль digital в жизни бренда
Роль digital в жизни брендаDenero
 
анализ рынка шоколада
анализ рынка шоколадаанализ рынка шоколада
анализ рынка шоколадаPavelStr
 
Проект по развитию категории «Кондитерские изделия» Mars Дикси
Проект по развитию категории «Кондитерские изделия» Mars ДиксиПроект по развитию категории «Кондитерские изделия» Mars Дикси
Проект по развитию категории «Кондитерские изделия» Mars ДиксиВадим Матюшкин
 
Рабинович Борис, Делойт СНГ
Рабинович Борис, Делойт СНГРабинович Борис, Делойт СНГ
Рабинович Борис, Делойт СНГconnectica-lab
 
Dunkin donuts in San Francisco - Marketing Plan
Dunkin donuts in San Francisco - Marketing PlanDunkin donuts in San Francisco - Marketing Plan
Dunkin donuts in San Francisco - Marketing PlanMariana Gonçalves Francisco
 
Mars
MarsMars
MarsNatalie Boo
 
Mt code2016 senior-silk-road-дюна
Mt code2016 senior-silk-road-дюнаMt code2016 senior-silk-road-дюна
Mt code2016 senior-silk-road-дюнаChangellenge >> Capital
 
How To Launch A Product: 7 Tips To Drive Demand
How To Launch A Product: 7 Tips To Drive DemandHow To Launch A Product: 7 Tips To Drive Demand
How To Launch A Product: 7 Tips To Drive DemandDrift
 
Риски. Д. Софьина.
Риски. Д. Софьина.Риски. Д. Софьина.
Риски. Д. Софьина.Expolink
 
Information security risk management.pdf
Information security risk management.pdfInformation security risk management.pdf
Information security risk management.pdftrenders
 

More Related Content

What's hot

Показатели для наблюдателей Э. Мальцев Strategii #03 2008
Показатели для наблюдателей Э. Мальцев Strategii #03 2008Показатели для наблюдателей Э. Мальцев Strategii #03 2008
Показатели для наблюдателей Э. Мальцев Strategii #03 2008Eduard Maltsev
 
Влияние корпоративного управления на стоимость компании при проведении IPO
Влияние корпоративного управления на стоимость компании при проведении IPOВлияние корпоративного управления на стоимость компании при проведении IPO
Влияние корпоративного управления на стоимость компании при проведении IPORTS Stock Exhange
 
Вебинар 3/5. Расчет стоимости мониторинга
Вебинар 3/5. Расчет стоимости мониторингаВебинар 3/5. Расчет стоимости мониторинга
Вебинар 3/5. Расчет стоимости мониторингаsmm3
 
РИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ
РИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙРИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ
РИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙИлья Лившиц
 
7. презентация усо для акционера []
7. презентация усо для акционера []7. презентация усо для акционера []
7. презентация усо для акционера []share_1ab
 

What's hot (7)

Integro systems
Integro systemsIntegro systems
Integro systems
 
Показатели для наблюдателей Э. Мальцев Strategii #03 2008
Показатели для наблюдателей Э. Мальцев Strategii #03 2008Показатели для наблюдателей Э. Мальцев Strategii #03 2008
Показатели для наблюдателей Э. Мальцев Strategii #03 2008
 
Влияние корпоративного управления на стоимость компании при проведении IPO
Влияние корпоративного управления на стоимость компании при проведении IPOВлияние корпоративного управления на стоимость компании при проведении IPO
Влияние корпоративного управления на стоимость компании при проведении IPO
 
Вебинар 3/5. Расчет стоимости мониторинга
Вебинар 3/5. Расчет стоимости мониторингаВебинар 3/5. Расчет стоимости мониторинга
Вебинар 3/5. Расчет стоимости мониторинга
 
РИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ
РИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙРИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ
РИСК-ОРИЕНТИРОВАННЫЕ СТАНДАРТЫ ДЛЯ СИСТЕМ МЕНЕДЖМЕНТА ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ
 
Risk_methodologies
Risk_methodologiesRisk_methodologies
Risk_methodologies
 
7. презентация усо для акционера []
7. презентация усо для акционера []7. презентация усо для акционера []
7. презентация усо для акционера []
 

Viewers also liked

секция 5 курс и старше полуфинл команда 2x2
секция 5 курс и старше полуфинл команда 2x2секция 5 курс и старше полуфинл команда 2x2
секция 5 курс и старше полуфинл команда 2x2Changellenge >> Capital
 
Рекламная кампания Объединенные кондитеры
Рекламная кампания Объединенные кондитерыРекламная кампания Объединенные кондитеры
Рекламная кампания Объединенные кондитерыДмитрий Неплохов
 
Елена Морозова, Radar Advertising, Digital для fmcg
Елена Морозова, Radar Advertising, Digital для fmcg Елена Морозова, Radar Advertising, Digital для fmcg
Елена Морозова, Radar Advertising, Digital для fmcgweb2win
 
CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?
CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?
CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?CodeFest
 
Case Club challenge solution : Alfa case 2014
Case Club challenge solution : Alfa case 2014Case Club challenge solution : Alfa case 2014
Case Club challenge solution : Alfa case 2014Mika KAN
 
Роль digital в жизни бренда
Роль digital в жизни брендаРоль digital в жизни бренда
Роль digital в жизни брендаDenero
 
анализ рынка шоколада
анализ рынка шоколадаанализ рынка шоколада
анализ рынка шоколадаPavelStr
 
Проект по развитию категории «Кондитерские изделия» Mars Дикси
Проект по развитию категории «Кондитерские изделия» Mars ДиксиПроект по развитию категории «Кондитерские изделия» Mars Дикси
Проект по развитию категории «Кондитерские изделия» Mars ДиксиВадим Матюшкин
 
Рабинович Борис, Делойт СНГ
Рабинович Борис, Делойт СНГРабинович Борис, Делойт СНГ
Рабинович Борис, Делойт СНГconnectica-lab
 
How To Launch A Product: 7 Tips To Drive Demand
How To Launch A Product: 7 Tips To Drive DemandHow To Launch A Product: 7 Tips To Drive Demand
How To Launch A Product: 7 Tips To Drive DemandDrift
 

Viewers also liked (13)

секция 5 курс и старше полуфинл команда 2x2
секция 5 курс и старше полуфинл команда 2x2секция 5 курс и старше полуфинл команда 2x2
секция 5 курс и старше полуфинл команда 2x2
 
Рекламная кампания Объединенные кондитеры
Рекламная кампания Объединенные кондитерыРекламная кампания Объединенные кондитеры
Рекламная кампания Объединенные кондитеры
 
Елена Морозова, Radar Advertising, Digital для fmcg
Елена Морозова, Radar Advertising, Digital для fmcg Елена Морозова, Radar Advertising, Digital для fmcg
Елена Морозова, Radar Advertising, Digital для fmcg
 
CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?
CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?
CodeFest 2012. Щербакова А. — Поколение Y, или зачем нам все это нужно?
 
Case Club challenge solution : Alfa case 2014
Case Club challenge solution : Alfa case 2014Case Club challenge solution : Alfa case 2014
Case Club challenge solution : Alfa case 2014
 
Роль digital в жизни бренда
Роль digital в жизни брендаРоль digital в жизни бренда
Роль digital в жизни бренда
 
анализ рынка шоколада
анализ рынка шоколадаанализ рынка шоколада
анализ рынка шоколада
 
Проект по развитию категории «Кондитерские изделия» Mars Дикси
Проект по развитию категории «Кондитерские изделия» Mars ДиксиПроект по развитию категории «Кондитерские изделия» Mars Дикси
Проект по развитию категории «Кондитерские изделия» Mars Дикси
 
Рабинович Борис, Делойт СНГ
Рабинович Борис, Делойт СНГРабинович Борис, Делойт СНГ
Рабинович Борис, Делойт СНГ
 
Dunkin donuts in San Francisco - Marketing Plan
Dunkin donuts in San Francisco - Marketing PlanDunkin donuts in San Francisco - Marketing Plan
Dunkin donuts in San Francisco - Marketing Plan
 
Mars
MarsMars
Mars
 
Mt code2016 senior-silk-road-дюна
Mt code2016 senior-silk-road-дюнаMt code2016 senior-silk-road-дюна
Mt code2016 senior-silk-road-дюна
 
How To Launch A Product: 7 Tips To Drive Demand
How To Launch A Product: 7 Tips To Drive DemandHow To Launch A Product: 7 Tips To Drive Demand
How To Launch A Product: 7 Tips To Drive Demand
 

Similar to Uisg itgov 3_ rm -silver bullet ey

Риски. Д. Софьина.
Риски. Д. Софьина.Риски. Д. Софьина.
Риски. Д. Софьина.Expolink
 
Information security risk management.pdf
Information security risk management.pdfInformation security risk management.pdf
Information security risk management.pdftrenders
 
Исследование PwC «Взгляд на риски: обеспечение конкурентного преимущества в у...
Исследование PwC «Взгляд на риски: обеспечение конкурентного преимущества в у...Исследование PwC «Взгляд на риски: обеспечение конкурентного преимущества в у...
Исследование PwC «Взгляд на риски: обеспечение конкурентного преимущества в у...PwC Russia
 
Управление рисками в проектах. Попытка сравнения
Управление рисками в проектах. Попытка сравнения Управление рисками в проектах. Попытка сравнения
Управление рисками в проектах. Попытка сравнения Евгений Пикулев
 
Положение о системе управление рисками
Положение о системе управление рискамиПоложение о системе управление рисками
Положение о системе управление рискамиAlexei Sidorenko, CRMP
 
ВЭБИНАР Сколково - управление рисками 05032013
ВЭБИНАР Сколково - управление рисками 05032013ВЭБИНАР Сколково - управление рисками 05032013
ВЭБИНАР Сколково - управление рисками 05032013Alexei Sidorenko, CRMP
 
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...Андрей Крылов
 
Стратегическое управление ИТ
Стратегическое управление ИТСтратегическое управление ИТ
Стратегическое управление ИТCleverics
 
Взгляд на риски: обеспечение конкурентного преимущества в условиях нестабильн...
Взгляд на риски: обеспечение конкурентного преимущества в условиях нестабильн...Взгляд на риски: обеспечение конкурентного преимущества в условиях нестабильн...
Взгляд на риски: обеспечение конкурентного преимущества в условиях нестабильн...PwC Russia
 
Introduction to Risk Management
Introduction to Risk ManagementIntroduction to Risk Management
Introduction to Risk ManagementIryna Nyenno
 
Построение современной модели продаж
Построение современной модели продажПостроение современной модели продаж
Построение современной модели продажMichael Lufanov
 
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятияa_a_a
 
Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)Anna Sokolova
 
Полезное использование информационных технологий
Полезное использование информационных технологийПолезное использование информационных технологий
Полезное использование информационных технологийCleverics
 
Особенности стратегического управления холдингом на основе ссп подхода
Особенности стратегического управления холдингом на основе ссп подходаОсобенности стратегического управления холдингом на основе ссп подхода
Особенности стратегического управления холдингом на основе ссп подходаSergei Tretiak
 
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииРоль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииVladimir Matviychuk
 
контроллинг в бизнесе. ташенова саркыт
контроллинг в бизнесе. ташенова саркытконтроллинг в бизнесе. ташенова саркыт
контроллинг в бизнесе. ташенова саркытIAB_CRD
 
Great dream: маркетинговый аутсорсинг
Great dream: маркетинговый аутсорсингGreat dream: маркетинговый аутсорсинг
Great dream: маркетинговый аутсорсингGreat Dream
 
RUS: Система раннего предупреждения рискограф
RUS: Система раннего предупреждения рискографRUS: Система раннего предупреждения рискограф
RUS: Система раннего предупреждения рискографRoman Romachev
 
Некоммерческая организация (нко), менеджмент
Некоммерческая организация (нко), менеджментНекоммерческая организация (нко), менеджмент
Некоммерческая организация (нко), менеджментADR HABITAT
 

Similar to Uisg itgov 3_ rm -silver bullet ey (20)

Риски. Д. Софьина.
Риски. Д. Софьина.Риски. Д. Софьина.
Риски. Д. Софьина.
 
Information security risk management.pdf
Information security risk management.pdfInformation security risk management.pdf
Information security risk management.pdf
 
Исследование PwC «Взгляд на риски: обеспечение конкурентного преимущества в у...
Исследование PwC «Взгляд на риски: обеспечение конкурентного преимущества в у...Исследование PwC «Взгляд на риски: обеспечение конкурентного преимущества в у...
Исследование PwC «Взгляд на риски: обеспечение конкурентного преимущества в у...
 
Управление рисками в проектах. Попытка сравнения
Управление рисками в проектах. Попытка сравнения Управление рисками в проектах. Попытка сравнения
Управление рисками в проектах. Попытка сравнения
 
Положение о системе управление рисками
Положение о системе управление рискамиПоложение о системе управление рисками
Положение о системе управление рисками
 
ВЭБИНАР Сколково - управление рисками 05032013
ВЭБИНАР Сколково - управление рисками 05032013ВЭБИНАР Сколково - управление рисками 05032013
ВЭБИНАР Сколково - управление рисками 05032013
 
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...
Слайды "раздатки" с семинара "Управление рисками. Выявление рисков бизнес-про...
 
Стратегическое управление ИТ
Стратегическое управление ИТСтратегическое управление ИТ
Стратегическое управление ИТ
 
Взгляд на риски: обеспечение конкурентного преимущества в условиях нестабильн...
Взгляд на риски: обеспечение конкурентного преимущества в условиях нестабильн...Взгляд на риски: обеспечение конкурентного преимущества в условиях нестабильн...
Взгляд на риски: обеспечение конкурентного преимущества в условиях нестабильн...
 
Introduction to Risk Management
Introduction to Risk ManagementIntroduction to Risk Management
Introduction to Risk Management
 
Построение современной модели продаж
Построение современной модели продажПостроение современной модели продаж
Построение современной модели продаж
 
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятиясуиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
 
Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)Управление рисками в ИТ-проекте (2003)
Управление рисками в ИТ-проекте (2003)
 
Полезное использование информационных технологий
Полезное использование информационных технологийПолезное использование информационных технологий
Полезное использование информационных технологий
 
Особенности стратегического управления холдингом на основе ссп подхода
Особенности стратегического управления холдингом на основе ссп подходаОсобенности стратегического управления холдингом на основе ссп подхода
Особенности стратегического управления холдингом на основе ссп подхода
 
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятииРоль ИТ в выявлении и предотвращении мошенничества на предприятии
Роль ИТ в выявлении и предотвращении мошенничества на предприятии
 
контроллинг в бизнесе. ташенова саркыт
контроллинг в бизнесе. ташенова саркытконтроллинг в бизнесе. ташенова саркыт
контроллинг в бизнесе. ташенова саркыт
 
Great dream: маркетинговый аутсорсинг
Great dream: маркетинговый аутсорсингGreat dream: маркетинговый аутсорсинг
Great dream: маркетинговый аутсорсинг
 
RUS: Система раннего предупреждения рискограф
RUS: Система раннего предупреждения рискографRUS: Система раннего предупреждения рискограф
RUS: Система раннего предупреждения рискограф
 
Некоммерческая организация (нко), менеджмент
Некоммерческая организация (нко), менеджментНекоммерческая организация (нко), менеджмент
Некоммерческая организация (нко), менеджмент
 

More from uisgslide

Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0uisgslide
 
Коментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпекиКоментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпекиuisgslide
 
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...uisgslide
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україніuisgslide
 
Sandbox kiev
Sandbox kievSandbox kiev
Sandbox kievuisgslide
 
Comments glib pakharenko
Comments glib pakharenkoComments glib pakharenko
Comments glib pakharenkouisgslide
 
War between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber spaceWar between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber spaceuisgslide
 
Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПuisgslide
 
Group fs owasp_26-11-14
Group fs owasp_26-11-14Group fs owasp_26-11-14
Group fs owasp_26-11-14uisgslide
 
Owasp healthcare cms
Owasp healthcare cmsOwasp healthcare cms
Owasp healthcare cmsuisgslide
 
OWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentationOWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentationuisgslide
 
Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3uisgslide
 
Uisg infosec 10_crypto
Uisg infosec 10_cryptoUisg infosec 10_crypto
Uisg infosec 10_cryptouisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcpuisgslide
 
Uuisg itgov 9_itfinance
Uuisg itgov 9_itfinanceUuisg itgov 9_itfinance
Uuisg itgov 9_itfinanceuisgslide
 
Uisg itgov 19_cloud
Uisg itgov 19_cloudUisg itgov 19_cloud
Uisg itgov 19_clouduisgslide
 
Uisg itgov 15_nda
Uisg itgov 15_ndaUisg itgov 15_nda
Uisg itgov 15_ndauisgslide
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudituisgslide
 

More from uisgslide (20)

Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0
 
Коментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпекиКоментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпеки
 
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україні
 
Sandbox kiev
Sandbox kievSandbox kiev
Sandbox kiev
 
Comments glib pakharenko
Comments glib pakharenkoComments glib pakharenko
Comments glib pakharenko
 
War between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber spaceWar between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber space
 
Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТП
 
Circl eco
Circl ecoCircl eco
Circl eco
 
Group fs owasp_26-11-14
Group fs owasp_26-11-14Group fs owasp_26-11-14
Group fs owasp_26-11-14
 
Owasp healthcare cms
Owasp healthcare cmsOwasp healthcare cms
Owasp healthcare cms
 
OWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentationOWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentation
 
Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3
 
Uisg infosec 10_crypto
Uisg infosec 10_cryptoUisg infosec 10_crypto
Uisg infosec 10_crypto
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcp
 
Uuisg itgov 9_itfinance
Uuisg itgov 9_itfinanceUuisg itgov 9_itfinance
Uuisg itgov 9_itfinance
 
Uisg itgov 19_cloud
Uisg itgov 19_cloudUisg itgov 19_cloud
Uisg itgov 19_cloud
 
Uisg itgov 15_nda
Uisg itgov 15_ndaUisg itgov 15_nda
Uisg itgov 15_nda
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudit
 

Uisg itgov 3_ rm -silver bullet ey

  • 1. Управление рисками - серебряная пуля или данность моды? Собрание Ukrainian Information Security Group VI Владимир Матвийчук, CISA, CISM, ITILF
  • 2. Что такое управление рисками Риск - произведение вероятности возникновения неблагоприятного события на величину потерь, полученных в результате наступления такого события Управление рисками - процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь, вызванных его реализацией Страница 2
  • 3. Преимущества от использования управления рисками ► Сокращение затрат ► Оптимизация контролей ► Эффективное использование технологий ► Улучшение бизнес-процессов ► «Единый язык» для общения с руководством бизнеса ► Координация действий по управлению рисками ► Улучшение процесса отчетности и раскрытия информации по рискам Страница 3
  • 4. Проблемы управления рисками и возможные причины Проблемы Возможные причины ► Субъективность ► Неверно выбранная методика ► Неточность ► Низкое вовлечение бизнеса ► Сложность ► Низкий уровень зрелости процессов ИБ ► Агрессивная стратегия принятия рисков Страница 4
  • 5. Методика управления рисками – как выбрать правильно? ► Выбор несоответствующей методики управления рисками – одна из частых причин дальнейших проблем ► Критерии для выбора методики управления рисками (список не исчерпывающий): ü Тип организации (государственная, большая, средняя, маленькая, коммерческая, некоммерческая) ü Элементы процесса, охваченные методикой (весь процесс, только оценка рисков и т.д.) ü Оценка риска (качественная, количественная: в деньгах, по надуманной шкале и т.д.) ü Стоимость методики, необходимость лицензирования (платная, бесплатная, бесплатная для членов ассоциации и т.д.) ü Уровень знаний специалистов, необходимый для использования методик (высокий, средний, базовый) ü Наличие инструментария для автоматизации и его стоимость (есть / нет, платный / бесплатный) ü Регуляторные требования Страница 5
  • 6. Выбор оценки: качество против количества Количественная Качественная Страница 6
  • 7. Не все риски можно легко оценить в деньгах ► Урон репутации ► Утрата конкурентного преимущества ► Ухудшение продуктивности / морального духа сотрудников ► Ущерб или смерть Страница 7
  • 8. Субъективность методов оценки риска Все в мире субъективно J Страница 8
  • 9. Почему «единый язык» для общения с руководством бизнеса не работает ? ► Мы построили процесс, но руководство все равно не слышит доводов ► Возможные причины: ► Наличие более приоритетных рисков ► Агрессивная политика принятия риска Руководство бизнеса Информационная безопасность Страница 9
  • 10. Управление рисками глазами ИБ Цели бизнеса, требования регулирующих органов и указания управляющего совета , которые Корпоративная модель управления рисками, определяют требования к управлению стратегия, толерантность к риску, рисками Бизнес метод управления и ожидания от управления факторы рисками Стратегия управления Владение, ответственность, Определение рисков, сферы рисками контроль выполнения программ и рисков, ключевые индикаторы управление требованиями к оценке, рисков, библиотека рисков и улучшению и мониторингу рисков контролей, сценарии рисковых Управление, событий и критерии к политики и стандарты определению рейтинга рисков Определение и категоризация рисков Инструменты для облегчения Процессы, процедуры и методы Процессы и процесса управления рисками Инструменты и Управление управления рисками операционные технологии персоналом и практики организацией Организационная структура, роли и обязанности, программа обучения и Соответствие, мониторинг и отчетность персонал для управления рисками Матрица рисков: непрерывное наблюдение и отчетность об эффективности управления рисками Страница 10
  • 11. Информационные риски глазами бизнеса Учет и отчетность Ликвидность Рынок Динамика рынка Структура капитала Основные инициативы Кредитный Слияние, поглощение и ФИНАНСОВЫЕ отчуждение Разработка активов продуктов СТРАТЕГИЧЕСКИЕ Планирование и Распределение ресурсов E&Y RISKUNIVERSEä Продажи и маркетинг Коммуникации и ОПЕРАЦИОННЫЕ Поставки связи с инвесторами СООТВЕТСТВИЯ Управление Люди Нормы поведения Информационные технологии Правовой Регуляторный Налоги Основные Прерывание фонды деятельности Страница 11
  • 12. Риск-аппетит: теория ► Риск нельзя свести к абсолютному минимуму ► Невозможно выявить все источники рисков ► Уменьшение некоторых рисков требует чрезмерных затрат ► Принятие некоторых рисков позволяет увеличить доходность ► Установление предельного значения риска позволяет определить, до какой степени данный риск следует минимизировать, а до какой – принять Идеальный вариант Затраты Суммарные затраты Затраты на контроли Ожидаемые потери Оптимальные затраты Риски Страница 12
  • 13. Стратегии в принятии риска Стратегия Описание Неприятие Избежание риска и неопределенности является ключевой задачей Осторожность Предпочтение для безопасных вариантов, которые имеют низкую степень присущего риска и могут иметь лишь ограниченный потенциал для выгоды Открытость Готовы рассмотреть все варианты и выбрать тот, который наиболее вероятно, приведет к успешной доставки а также обеспечивает приемлемый уровень выгоды Жажда Стремимся быть инновационными и выбирать варианты на основе потенциала наибольшей выгоды (несмотря на присущий высокий риск) Страница 13
  • 14. Риск-аппетит: реалии ► Руководство может принимать разную стратегию принятия рисков ► Руководство бизнеса склонно рисковать ► Принятие риска часто может привести к дополнительной прибыли Страница 14
  • 15. Управление информационными рисками сугубо силами ИТ и ИБ - путь в никуда ► Управление информационными рисками должно интегрироваться общекорпоративную модель управления рисками ► Оценка ущерба без вовлечения представителей бизнес-подразделений – напрасно потраченные ресурсы Страница 15
  • 16. Проблемы будущего ► Еще один часто встречающийся аргумент против управления рисками - невозможно оценить влияние будущих событий (появления уязвимостей 0-го дня и т.д.) ► Управление рисками – циклический, постоянно совершенствующийся процесс ► Оценка должна проводится: ► регулярно (как минимум ежегодно) ► при обнаружении новых уязвимостей ► при существенных изменениях в компании Страница 16
  • 17. Вопросы? Спасибо за внимание! Владимир Матвийчук, CISA, CISM, ITILF Услуги в области информационных технологий и ИТ рисков +38 (067) 536-0-536 Volodymyr.Matviychuk@ua.ey.com Страница 17